Il panorama normativo europeo dei pagamenti digitali si trova oggi in un momento di singolare tensione dialettica. Da un lato, l’evoluzione dalla Direttiva (UE) 2015/2366 (PSD2) verso il nuovo pacchetto legislativo composto dalla PSD3 e dal Payment Services Regulation (PSR) riflette la necessità di intercettare le trasformazioni tecnologiche indotte dalle BigTech e dal ciclo “dati-rete-attività”. Dall’altro, la privacy dei cittadini vive in quell’equilibrio sempre complesso, dove ci sembra sempre necessario cedere un pezzo dei propri diritti per la nostra sicurezza.
Il provvedimento del Garante per la Protezione dei Dati Personali del 17 aprile 2026 nei confronti di Poste Italiane rappresenta, a parere di chi scrive, l’apice di questa frizione in questo periodo storico.
Indice degli argomenti
Cosa prevede il provvedimento del 17 aprile del Garante contro Poste Italiane
Tra aprile e maggio 2024, il Garante Privacy riceveva oltre 140 segnalazioni da parte di utenti che lamentavano l’obbligo di fornire alle app un’autorizzazione tecnica per “rilevare la presenza di eventuali software dannosi”. Il messaggio avvisava che, in caso di mancata attivazione di tale permesso, dopo tre accessi l’operatività dell’app sarebbe stata inibita. Questa autorizzazione consentiva alle app di accedere a un vasto set di “dati di utilizzo” del telefono attraverso una libreria software di terze parti chiamata ThreatMetrix, arrivando a scansionare l’elenco di tutte le app installate e in esecuzione sul dispositivo dell’utente.
Le società (Poste Italiane e Postepay) si difendevano sostenendo che tale monitoraggio massivo fosse un obbligo legale imposto dalla direttiva europea sui servizi di pagamento (PSD2) per prevenire frodi e malware (ad esempio, per individuare eventuali app malevole in esecuzione durante una transazione) e che, pertanto, non necessitasse del consenso preventivo dell’utente.
Il Garante respingeva le giustificazioni delle società, smontando l’impianto logico-giuridico su cui si basava l’implementazione del sistema antifrode. Le principali violazioni riscontrate sono state:
Violazioni riscontrate nel sistema antifrode
raccolta illecita di dati senza consenso (art. 122 del Codice Privacy): l’Autorità ha stabilito che accedere alla lista delle app installate o in esecuzione è altamente intrusivo nella sfera personale, in quanto può rivelare informazioni sensibili sulle abitudini di vita dell’utente (come orientamenti religiosi, politici, sessuali o condizioni di salute). Tale raccolta massiva non è “strettamente necessaria” all’erogazione del servizio di pagamento e non è assimilabile all’uso di un “cookie tecnico”, pertanto avrebbe richiesto il consenso preventivo, libero ed esplicito dell’utente, che non poteva asseritamente essere forzato sotto la minaccia del blocco dell’app.
- Mancanza di una base giuridica valida (Art. 6 GDPR): pur essendo vero che la normativa PSD2 impone di prevenire le frodi, essa non obbliga a effettuare tracciamenti così invasivi sui dispositivi degli utenti. Inoltre, Poste non ha effettuato una preventiva e specifica valutazione del legittimo interesse (LIA) per dimostrare che il proprio interesse antifrode fosse bilanciato con i diritti fondamentali degli utenti.
- informativa inadeguata e mancanza di trasparenza (Artt. 5 e 13 GDPR): gli utenti non sono stati informati in modo specifico, chiaro e dettagliato sul fatto che le applicazioni avrebbero scansionato il loro dispositivo alla ricerca di altre app in esecuzione, violando il principio di trasparenza.
- mancata Valutazione d’Impatto e assenza di Privacy by Design (Artt. 25 e 35 GDPR): prima di implementare una tecnologia così lesiva per la privacy, le società avrebbero dovuto obbligatoriamente effettuare una Valutazione di Impatto (DPIA) specifica per quell’applicativo. Inoltre, non hanno rispettato il principio di Privacy by Design, non avendo valutato l’adozione di soluzioni tecniche alternative e meno invasive per raggiungere lo stesso scopo di sicurezza.
- irregolarità nei contratti con i fornitori (Art. 28 GDPR): le società non hanno verificato in modo adeguato le garanzie di sicurezza del fornitore (il sub-responsabile che erogava il software ThreatMetrix), e i relativi contratti di nomina dei responsabili del trattamento presentavano gravi lacune, disallineamenti e incongruenze.
- conservazione eccessiva dei dati (Art. 5 GDPR): i dati raccolti dai dispositivi venivano conservati nei database per 28 mesi, un periodo superiore ai 24 mesi inizialmente dichiarati, senza una reale necessità o giustificazione proporzionata alle finalità antifrode, violando il principio di limitazione della conservazione.
Considerata l’elevata gravità delle violazioni, il Garante emetteva sanzioni amministrative per un ammontare di circa 12,5 milioni di euro, oltre che l’interruzione immediata (entro 10 giorni) del trattamento relativo alla raccolta dei dati sulle app installate e/o in esecuzione sui dispositivi degli utenti.
C’è un dettaglio importante che va evidenziato. ll Garante non ha accertato un effettivo utilizzo dei dati per finalità commerciali, promozionali o di marketing da parte di Poste Italiane e Postepay. Le due società, al contrario, si sono difese sottolineando esplicitamente che i dati raccolti tramite il sistema di cybersecurity (per finalità di antifrode) non sono mai stati usati per fini secondari rispetto alla sicurezza dell’utente, essendo segregati in una piattaforma dedicata (PIAF) e non consultabili per altri scopi.
Tuttavia, il Garante ha sollevato alcune importanti criticità legate alla potenzialità tecnica del sistema e alla conservazione dei dati, sanzionando comportamenti che andavano oltre la stretta necessità antifrode. In particolare, l’Autorità ha stabilito che tutti questi dati avrebbero potenzialmente consentito un’attività di profilazione dell’utente. Proprio per questo motivo, il Garante ha giudicato la configurazione adottata da Poste sicuramente assimilabile a “cookie di profilazione o commerciali” piuttosto che a cookie tecnici necessari, stabilendo che la raccolta non poteva avvenire senza il preventivo consenso.
Un’altra lettura del provvedimento contro Poste: le possibili intenzioni del Garante
E’ parere di chi scrive che questo provvedimento si muove in un delicato equilibrio tra la tutela della privacy e la reale necessità di proteggere gli utenti (soprattutto le fasce più vulnerabili) da frodi informatiche sempre più sofisticate.
Le banche si trovano effettivamente sotto un’enorme pressione: con l’evoluzione delle normative europee (dalla PSD2 al nuovo pacchetto PSD3/PSR), la responsabilità per le frodi, incluse le truffe di ingegneria sociale o l’inganno da parte di finti operatori (impersonation fraud), si sta spostando quasi interamente sui prestatori di servizi di pagamento, che sono obbligati a rimborsare i clienti truffati. Per questo motivo, Poste Italiane ha difeso il proprio sistema sostenendo che un approccio proattivo fosse indispensabile per proteggere i fondi degli utenti da attacchi malware e ottemperare agli obblighi di sicurezza.
Allo stesso tempo, analizzando a fondo il provvedimento, emerge che il Garante potrebbe non aver inteso fare una mera “guerra di principio” contro l’antifrode, ma ha contestato la proporzionalità del metodo tecnico specifico scelto da Poste. L’Autorità ha infatti chiarito che l’obbligo generale di adottare misure di sicurezza non legittima una raccolta di dati personali più ampia di quanto strettamente necessario. Accedere indiscriminatamente alla lista di tutte le app installate o in esecuzione su uno smartphone è considerato (dal Garante) un atto altamente intrusivo, poiché permette di dedurre informazioni intime dell’utente, come lo stato di salute (app mediche), l’orientamento sessuale (app di incontri), il credo religioso o le abitudini finanziarie.
Esempi di dati sensibili deducibili
- stato di salute: la presenza di app dedicate al monitoraggio di specifiche condizioni mediche rivela informazioni sanitarie.
- orientamento sessuale e vita privata: le app relative a incontri o relazioni personali possono suggerire l’orientamento affettivo.
- credo religioso o politico: le app riconducibili a organizzazioni religiose, partiti o luoghi di culto permettono di dedurre tali convinzioni.
- abitudini finanziarie: app di trading, gioco d’azzardo o prestiti forniscono un quadro della situazione economica e delle abitudini dell’utente.
Al dubbio legittimo di pensare che l’elenco delle applicazioni presenti sul nostro smartphone sia una semplice lista di software o a un dato puramente tecnico, il Garante della Privacy chiarisce in modo dettagliato il meccanismo logico e deduttivo che trasforma questa lista in un’informazione estremamente sensibile.
Il ragionamento dell’Autorità si basa sul fatto che la scelta di installare e utilizzare determinati software è strettamente legata alla vita privata dell’individuo. Nello specifico, il Garante fa l’esempio della presenza di applicazioni dedicate al monitoraggio di specifiche condizioni mediche. Se il sistema antifrode scansiona il telefono e rileva, ad esempio, un’app per il controllo quotidiano della glicemia, un’app per il monitoraggio di una malattia cronica o un’app per il supporto oncologico, il sistema (e chi lo gestisce) può dedurre con un altissimo grado di probabilità che l’utente soffra di quella specifica patologia o condizione di salute.
Per questo motivo, il Garante ha stabilito che l’accesso all’elenco delle app (installate o in esecuzione) non si limita affatto a descrivere delle “caratteristiche tecniche” o “neutre” del dispositivo. Al contrario, tale accesso costituisce a tutti gli effetti un trattamento di dati personali, poiché permette di dedurre in modo altamente intrusivo le abitudini di vita e gli aspetti intimi della persona che utilizza lo smartphone.
Di conseguenza, proprio perché la semplice presenza di un’app scaricata volontariamente dall’utente consente di inferire informazioni sul suo stato di salute, l’Autorità considera l’elenco delle app come un dato potenzialmente idoneo a rivelare le “categorie particolari di dati” (i cosiddetti dati sensibili) tutelate dalla normativa sulla privacy. Lo stesso esatto principio logico si applica ad altre categorie sensibili: la presenza di app di incontri permette di dedurre l’orientamento sessuale, mentre le app riconducibili a organizzazioni religiose o politiche permettono di dedurre i relativi convincimenti dell’utente.
Cosa dice la normativa bancaria e Banca d’Italia
Sulla vicenda si è creato un interessante scontro interpretativo tra le esigenze imposte dalla normativa bancaria europea e i limiti stabiliti dalle leggi sulla privacy.
Durante il procedimento, Poste Italiane e Postepay si sono difese invocando proprio la normativa bancaria europea, in particolare la Direttiva sui Servizi di Pagamento (PSD2) e gli Standard Tecnici di Regolamentazione (RTS) emanati dall’Autorità Bancaria Europea (EBA) con il Regolamento Delegato UE 2018/389. Le società hanno evidenziato che gli articoli 2 e 18 di tali standard impongono ai prestatori di servizi di pagamento (PSP) di adottare meccanismi di monitoraggio delle transazioni che devono obbligatoriamente rilevare “i segnali della presenza di malware in una qualsiasi delle sessioni della procedura di autenticazione”. Poste sosteneva quindi che l’uso dell’applicativo ThreatMetrix per scansionare il telefono alla ricerca di app malevole fosse un preciso obbligo di legge per garantire la sicurezza dei fondi degli utenti.
Tuttavia, il Garante della Privacy ha respinto questa tesi, chiarendo che sebbene la normativa bancaria PSD2 imponga di prevenire le frodi e garantire la sicurezza, essa non obbliga in alcun modo a effettuare trattamenti di dati così massivi e invasivi (come la scansione di tutte le app in esecuzione). La legge impone l’obiettivo della sicurezza, ma lascia alle società la scelta degli strumenti tecnici, i quali devono sempre rispettare i limiti della privacy (principio di Privacy by Design e proporzionalità).
Un elemento molto rilevante emerso durante l’audizione delle società riguarda proprio il parere di Banca d’Italia. Poste Italiane ha infatti fatto notare che l’istituto di vigilanza bancaria aveva valutato il sistema in modo diverso rispetto al Garante della Privacy. Secondo quanto riportato dalle società, Banca d’Italia ha ritenuto che il sistema anti-malware adottato da Poste fosse “coerente con la normativa sulla prevenzione delle frodi” per quanto riguarda i propri profili di competenza. L’istituto di vigilanza ha valutato positivamente l’operato delle società, sottolineando in particolare il fatto che Poste avesse comunque assicurato la continuità del servizio bancario anche a quei clienti che avevano negato l’autorizzazione all’accesso ai dati del proprio dispositivo.
Di particolare interesse, quindi, questa dicotomia tra due diverse autorità: per la vigilanza bancaria (Banca d’Italia), lo strumento tecnico era funzionale e coerente con le rigide regole antifrode richieste dalla PSD2; per l’autorità privacy (il Garante), invece, il metodo specifico scelto per applicare quelle regole era sproporzionato e ha violato i diritti fondamentali degli utenti.
Si aggiunge che, secondo il Garante Privacy, le società avrebbero dovuto valutare e adottare soluzioni tecniche alternative e meno invasive per raggiungere lo stesso, fondamentale, livello di sicurezza (applicando il principio della Privacy by Design).
Nel provvedimento, l’Autorità menziona i “controlli runtime (RASP)” elencandoli tra i vari meccanismi alternativi che avrebbero permesso di raggiungere lo stesso livello di sicurezza antifrode in modo meno invasivo. In particolare, il Garante sottolinea che i controlli RASP, insieme all’autenticazione multi-fattore (SCA step-up autorizzativi), agli algoritmi di scoring anonimi, ai monitoraggi di rete e alle schermate informative di convalida (pop-up), sono strumenti ampiamente utilizzati da altri operatori del settore bancario.
Il riferimento a queste tecnologie è servito all’Autorità per dimostrare che le società avrebbero potuto configurare il sistema (anche lo stesso applicativo ThreatMetrix) in modo da impiegare un insieme molto più limitato di attributi tecnici, evitando così la raccolta ingiustificata e altamente intrusiva dell’elenco di tutte le app installate o in esecuzione sullo smartphone dell’utente.
Tecnologie RASP e sicurezza applicativa
Ma facciamo un passo indietro. Cosa si intende per tecnologie RASP?
RASP è l’acronimo di Runtime Application Self-Protection. Si tratta di una tecnologia di sicurezza di nuova generazione che viene integrata direttamente all’interno del codice dell’applicazione stessa (che sia mobile o web). Il suo scopo è monitorare, rilevare e bloccare le minacce in tempo reale, esattamente nel momento in cui l’app è in esecuzione (a “runtime”).
In parole povere, l’integrazione di una tecnologia RASP trasforma l’app in una sorta di “guardia del corpo di sé stessa”. Il RASP protegge l’applicazione “dall’interno”. Lo fa intercettando costantemente le chiamate e le comunicazioni che avvengono tra l’applicazione e il sistema operativo dello smartphone.
Poiché vive dentro l’app, il RASP è in grado di individuare anomalie specifiche e comportamenti malevoli, tra cui:
Funzionalità principali del RASP
rilevamento Root/Jailbreak: verifica costantemente l’integrità del sistema operativo per capire se il telefono è stato sbloccato o compromesso, prevenendo l’esecuzione dell’app in ambienti non sicuri.
protezione da Reverse Engineering e Anti-Debugging: impedisce agli hacker di utilizzare strumenti (come debugger o emulatori) per “smontare” l’app, analizzarne il codice sorgente o automatizzare frodi tramite bot.
difesa da iniezioni di codice e hooking: identifica e blocca i tentativi di modificare dinamicamente l’app o di manipolare i dati nella memoria. Questo è fondamentale per fermare malware avanzati (come i trojan bancari) che cercano di sovrapporre schermate false (overlay fraudolenti) per rubare credenziali o che tentano di prendere il controllo remoto del dispositivo per intercettare i codici OTP.
Il RASP agisce in modo completamente autonomo, senza bisogno di alcun intervento umano. Quando identifica una minaccia in corso, può reagire in tre modi principali:
Avvisare l’utente: invia una notifica per segnalare che c’è un potenziale pericolo sul dispositivo.
Terminare l’applicazione: in caso di anomalia ad alto rischio, chiude immediatamente la sessione o l’app, invalidando i token di sicurezza e impedendo alla frode di compiersi.
Ingannare l’attaccante: può generare valori e dati falsi per confondere il malware o l’hacker, rendendo impossibile l’abuso dell’app e proteggendo al contempo le logiche di business e i dati sensibili.
Tornando al contesto della sanzione contro Poste Italiane, il grande vantaggio del RASP è che ha una visibilità profonda sulla logica interna dell’applicazione e capisce esattamente cosa l’app sta cercando di fare in quel momento. Questo gli permette di distinguere con estrema precisione un attacco vero da un’operazione legittima, riducendo quasi a zero i falsi allarmi.
Soprattutto, essendo focalizzato in modo mirato e chirurgico sulla singola applicazione e sul suo ambiente di esecuzione, il RASP riesce a neutralizzare le minacce senza avere alcun bisogno di uscire dal proprio perimetro per scansionare massivamente tutto il telefono o leggere la lista delle altre app private dell’utente. È l’esempio perfetto di come si possa ottenere un livello di sicurezza eccellente e proattivo rispettando al contempo la privacy dell’individuo.
Quando la guerra tra privacy e sicurezza antifrode diventa opportunità
Non è intenzione di chi scrive entrare nel merito del provvedimento, che sarà sicuramente oggetto di ulteriori fasi procedimentali.
Probabilmente, Il “contrasto” tra l’autorità di vigilanza bancaria e quella privacy non è un semplice “incidente”, ma il sintomo di un “complesso ecosistema giuridico” che necessita di urgenti interventi di coordinamento.
Da un lato, le banche subiscono un’enorme pressione normativa: con l’imminente passaggio al nuovo regolamento europeo sui pagamenti (PSR), la responsabilità per le frodi (incluso lo spoofing o finta impersonificazione di operatori bancari) ricadrà quasi interamente sui prestatori di servizi di pagamento, costringendoli a rimborsare le vittime. Questo li spinge ad adottare misure antifrode sempre più aggressive.
Dall’altro, il Garante difende il diritto fondamentale alla riservatezza e questo provvedimento “costringe” il sistema bancario a rivedere le proprie scelte.
Analizzando i dati concreti emersi dall’istruttoria e lo stato dell’arte della sicurezza bancaria, emerge fortunatamente che la cessazione del trattamento non lascerà gli utenti in balia dei frodatori, ma costringerà le società ad adottare una nuova strategia.
Durante l’istruttoria, infatti, le stesse società hanno ammesso che nei primi sette mesi di attuazione di questo nuovo sistema massivo non è corrisposta una rilevazione maggiore o più efficiente dei fenomeni fraudolenti. Il “ritorno al passato” a cui costringe il Garante in 10 giorni significa, quindi, tornare alla configurazione base di ThreatMetrix (che già analizzava rete, IP, e anomalie del dispositivo) e ai sistemi di Autenticazione Forte (SCA), che garantiscono già un livello di base molto solido.
La vera speranza (che in realtà è una concreta evoluzione già in atto) risiede in una metamorfosi strutturale della sicurezza finanziaria digitale a livello europeo. La vicenda di Poste Italiane dimostra che non siamo in un vicolo cieco in cui bisogna necessariamente scegliere tra proteggere i propri risparmi o rinunciare alla propria privacy.
Il superamento di questa dicotomia si fonda su alcuni pilastri principali che stanno ridisegnando il settore.
La speranza tecnologica è che i sistemi di sicurezza smettano di comportarsi come strumenti di sorveglianza perimetrale (che ispezionano indiscriminatamente l’intero smartphone) e diventino chirurgici. Lo stato dell’arte del design delle app bancarie si sta concentrando sulla cosiddetta “sicurezza invisibile”, che opera in background attraverso l’autenticazione continua e la biometria senza attriti.
A livello istituzionale, c’è la forte consapevolezza che le regole attuali vadano armonizzate. I tavoli di lavoro, come il Comitato Pagamenti Italia, stanno attivamente discutendo la necessità di un coordinamento più stretto tra le direttive sui pagamenti e il GDPR, proprio per colmare quelle distanze definitorie e quelle “zone grigie” che hanno portato a casi sanzionatori come quello di Poste. La vera svolta arriverà con il passaggio dalla direttiva PSD2 al nuovo pacchetto normativo PSD3 e PSR (Payment Services Regulation). Questa riforma ridefinirà il contratto sociale tra banche e clienti: introducendo una responsabilità finanziaria diretta in capo alle banche per le truffe di manipolazione psicologica (come lo spoofing o finta impersonificazione), gli istituti di credito saranno obbligati a investire in quelle tecnologie di prevenzione avanzate (come la biometria comportamentale) che tutelano l’utente senza violarne i diritti fondamentali.
Infine, c’è la speranza legata all’empowerment delle persone. La sicurezza non può essere scaricata solo sui software. Le istituzioni e le banche stanno evidenziando la necessità cruciale di investire nell’educazione finanziaria e digitale dei cittadini, per renderli consapevoli delle minacce legate all’ingegneria sociale e aiutarli a riconoscere le truffe. Questo si accompagna a un impegno per un design delle app che sia inclusivo e accessibile, per evitare che le misure di sicurezza diventino un ostacolo insormontabile per anziani o persone con disabilità.
In sintesi, il successo nel prossimo quinquennio dipenderà dalla capacità del sistema finanziario di orchestrare intelligenza artificiale, regolamentazione stringente e design incentrato sull’uomo per creare un ecosistema di “fiducia continua”. Un futuro in cui l’innovazione tecnologica e la difesa del patrimonio procedano di pari passo con la tutela assoluta dei diritti e delle libertà degli individui.
